مایکروسافت در سال ۲۰۰۴ به نسخه قدیمی فایروال نرم افزاری خود، یعنی ISA پایان داد. او نسخه به روزتری و بی نظیری به نام Forefront Threat Management Gateway ارایه کرد. فایروال TMG در هر دو نسخهی سیستم عامل های دسکتاپ و ویندوز سرور، قابل اجرا و نصب میباشد. با اینکه یکی از برترین فایروالهای نرمافزاری موجود در دنیا TMG است، اما عدم پشتیبانی مایکروسافت، باعث محدودیت در استفاده از این فایروال شده است. در این مقاله به تنظیمات و توصیف ویژگیهای TMG اطلاعات بیشتری کسب خواهیدکرد.
فایروال TMG چیست؟
TMG را می توان یکی از قوی ترین فایروال های نرم افزاری در عصر خود دانست. البته مایکروسافت اعلام کردهاست که، پشتیبانی از این فایروال نرم افزاری را، متوقف کرده است. همچنین این شرکت اعلام کردهاست، دیگر آپدیت و به روز رسانی از این فایروال نخواهد داشت.
همانطور که میدانید، فایروال ها به دو دسته نرم افزاری و سخت افزاری، تقسیم بندی می شوند. اگرچه بسیاری از کارشناسان بر این باور هستند که در سازمانهای بزرگ و مراکز امنیتی، میبایست از فایروالهای سخت افزاری استفاده شود، اما به دلیل هزینهی بالای این فایروالهای سخت افزاری، برای سازمانها و مراکز نگهداری داده، ما فایروالهای نرم افزاری را، پیشنهاد میدهیم. از طریق فایروال نرم افزاری TMG کلیه دادههای ورودی و خروجی در شبکه داخلی سازمان شما، بررسی شده و در اصطلاح فنی Inspect می شوند. در صورتی که این ترافیک با سیاستهایی که از سمت مدیر سرور تعیین شده است، مغایرت داشته باشد این ترافیک ورودی به سازمان شما مسدود خواهدشد. یکی دیگر از کاربردهای فایروال TMG این است که، میتواند در نقش یک پروکسی سرور باشد.
با اینکه یکی از برترین فایروالهای نرمافزاری موجود در دنیا TMG است، امروزه دیگر به دلیل عدم پشتیبانی مایکروسافت، استفاده از این فایروال نرم افزاری محدود شدهاست.
بررسی ویژگی های امنیتی TMG
از طریق این نرم افزار، بسیاری از مشکلات ارتباطی برطرف خواهد شد.از دیگر قابلیتهای این فایروال نرم افزاری، که در سال ۲۰۱۰ به صورت رسمی ارایه گردید، قابلیت Load Balancing است. در صورتی که در سازمان خود دو اینترنت داشته باشید، در صورت قطعی یک connection internet ارتباط اینترنتی شما، قطع نخواهد شد. ارتباط شما به صورت اتوماتیک، به لینک اینترنتی دوم شما، سوییچ خواهدشد. این یک قابلیت بی نظیر است که از سوی این فایروال، برای مزیتِ در دسترس پذیری، ارایه میشود. زمانی که شما، با نصب active directory دامین خود را در ساختار شبکه خودتان ایجاد کردید، حال نوبت آن است که تک تک کلاینت هایی که در دامنه شما وجود دارند را، از طریق TMG مدیریت نمایید.
با توجه به کاربردهای فایروال TMG در ادامهی این مقاله به تنظیمات و توصیف ویژگیهای امنیتی، در Publishing برنامههای کاربردی در TMG بپردازیم.
Highly Secure Email Access From Outlook Client :
کاربرانی که از ریموت استفاده میکنند میتوانند، از پروتکل Messaging Application Programming Interface (MAPI) که برای برقراری ارتباط کلاینتهای Outlook، با ایمیل سرور Exchange میباشد، بدون اتصال به VPN برروی اینترنت به Exchange دسترسی پیدا کنند. این اتصال، به منظور ایجاد امنیت رمزنگاری میشود.
Simple Outlook Web Access and Microsoft Office sharepoint Server Publishing :
از طریق یک “ویزارد” ساده میتوان به سرعت، دسترسی ریموت به Outlook Web Access و Share Point ها را پیکربندی نمود. کاربران outlook web access میتوانند توسط TMG احراز هویت شوند. همچنین از حملاتی که توسط کاربران غیرمجاز انجام میگیرد، جلوگیری شود.
Highly Secure Publishing of Web Servers and Internal Servers and Terminal Services :
کاربران ریموت میتوانند به منابع داخلی و یا وب سرورها، به صورت ایمنتری دسترسی داشته باشند. Link Translation این ویژگی را ارایه میدهد، که ما در ادامه مطالب وبلاگ، به بررسی این قابلیت خواهیم پرداخت.در واقع میتوان گفت که، عمل Publishing عکس العمل پروکسی بوده و برای پاسخگویی به درخواست هایی میباشد، که از شبکه خارجی برای دسترسی به سرویسهای داخلی ارسال میشود. این درخواستها، بعد از بررسی توسط تی ام جی، به سرویس مورد نظر ارسال میشوند.
ویژگی های امنیتی در Publishing فایروال نرم افزاری
Single Sign On :
تی ام جی یکبار کاربران را تایید هویت میکند. سپس به آنها اجازه میدهد که بدون نیاز به احراز هویت مجدد و ارایه نام کاربری و رمز عبور، به هریک از وبسایتهای Publish شده، دسترسی داشتهباشند.
Delegation of Basic Authentication :
تی ام جی، وبسایت هایی را که Publish شده اند، از دسترسیهای غیر مجاز محافظت میکند. به این صورت که قبل از برقراری اتصال به وبسایتهای Publish شده، احراز هویت کاربران را بررسی می کند. به همین علت، از امکان دسترسی کاربران غیرمجاز و سو استفادههای ممکن، جلوگیری خواهد شد.
Link Translation to Internal Servers :
تی ام جی از link translation برخوردار بوده، که برای ایجاد یک دیکشنری از اسامی کامپیوترهای داخلی میباشد. و نیز برای Map کردن اسامی شناخته شده استفاده میشود.
بررسی قابلیت SSL Bridging Support در فایروال TMG
Ssl Bridging Support :
برای محافظت در برابر حملاتی که از طریق ترافیکهای HTTP صورت میگیرد، SSL Bridging اجازه میدهد که با خرید ssl بستههای اطلاعاتی از طریق SSL محافظت شده، توسط تی ام جی، پس از رمزگشایی و بازرسی، مجددا رمزنگاری شوند.
به شما پیشنهاد می شود مقاله ما را برای کسب اطلاعات درباره ی انواع فایروال را مطالعه نمایید.
برای بسیاری از دوستان این سوال پیش میآید که آیا بر روی سیستم عاملهای لینوکس نیز، این فایروال نصب و پشتیبانی میشود؟در پاسخ به این سوال بایستی بگوییم که، مایکروسافت هیچ نسخهای برای لینوکس ارایه نداده است. .این فایروال نرم افزاری، تنها از طریق سیستم عامل های ویندوزی، قابل اجرا شدن و نصب میباشد.
توصیف ویژگی های محافظتی Firewall TMG2010
Multi Layer Firewall : تی ام جی با استفاده از ۳ قابلیت Packet Filtering , Stateful Inspection , Application Layer کنترل های دسترسی و محافظت را برروی سه لایه فراهم می کند. در واقع این فایروال نرم افزاری مایکروسافت را می توان ترکیبی از سه نوع فایروال نسل پیشین خود دانست که بسیار کامل تر شده و محتوای packet های عبوری را با معیارهای امنیتی پیچیده تری inspect می کند.
Application Layer Filtering : تی ام جی با استفاده ازین این قابلیت می تواند روی عمیق ترین لایه های برنامه های کاربردی فیلترینگ را اعمال نماید و براساس مشخصه ها و Signature های یک برنامه کاربردی استفاده از آن برنامه کاربردی را فیلتر کند. اگربخواهیم تعریفی که درسایت مایکروسافت برای signature آمده است را در اینجا به صورت خلاصه بیان کنیم می توانیم بگوییم signature ها در واقع امضاهای دیجیتالی هستند که در پایه digital certificates ها بنا نهاده شده و با استفاده از الگوریتم های رمزنگاری پیچیده ای تولید شده و به شما در شناخت و احراز هویت شخص و یا کمپانی که محصول نرم افزاری را به شما ارایه داده است کمک می کند. همه ما انسان ها برای احراز هویت خود در دنیای واقعی و برروی کاغذ از امضا خود استفاده می کنیم signature ها هم دقیقا امضا های دیجیتالی کمپانی سازنده نرم افزاری برروی محصول تولید شده خود می باشد.
Granular Http Control :تی ام جی می تواند برروی ترافیک های Http تنظیمات کنترلی زیر را ارایه دهد:
- کنترل بر روی محتوای فایل هایی که دانلود می شوند
- مسدود کردن ترافیک براساس بررسی اعتبار Signature ها
- کنترل های مبتنی بر متدهای HTTP
DOS Protections :تی ام جی قابلیت تحمل پذیری در مقابل Flood Attack ها را که به حملات DOS نیز معروف می باشند و بازپس گیری دوباره منابع که ارایه دهنده بازرسی های امنیتی بالا می باشند, فراهم می کند.
Extensive Protocol Support :تی ام جی از پروتکل های بسیاری پشتیبانی می کندو می توان پروتکل های جدیدی نیز برای آن تعریف کرد.
Url Filtering: این ویژگی برای فیلترکردن و یا بلاک کردن آدرس های URL و امکان دسترسی به آن هابر اساس سیاست های اجرایی شرکت ها و سازمان های بزرگ می باشدبرای مثال مدیر شبکه سازمان دسترسی کاربران مجموعه خود را به وبسایت های خبری بلاک می کند در این شرایط کاربران و کارمندان سازمان مربوطه نمی توانند در ساعات اداری از وبسایت های خبری بازدید بعمل آورند.
Web Antivirus-Anti Malware Protection : ترافیک های ورودی و خروجی وبسایت ها و فولدر های آرشیو شده از نظر ویروس ها و بدافزارها مورد بررسی قرار می گیرند.حتی فایل هایی که از سمت کاربران دانلود می شوند در طول پروسه دانلود اسکن می شوند. درصورت وجود هرگونه مورد بدافزاری در فایل های دانلودی ترافیک مورد نظر بلاک می شود.
Http Inspection: این قابلیت امکان مشاهده Ssl Sesseion های برقرار شده در کامپیوترهایی که تحت محافظت TMG می باشند را فراهم کرده و آن ها را از نظر Malware هاو آسیب پذیر ها بازرسی می کندبرای استفاده ازین قابلیت می بایست Certificate مربوط به TMG بر روی تمامی کلاینت های دامین نصب شده باشد.
ویژگی های مدیریتی TMG 2010
Enterprise Policy: پالیسی ها را می توان به gateway ها و آرایه ها و به صورت گسترده تر به سایر منابع می توان اختصاص داد.
Easy to Use Wizard: تی ام جی امکان پیکربندی ویژگی هایی مانند web publishing , web access , و پیکربندی آرایه را با استفاده از چند ویزارد ساده تر می سازد.
Real Time Monitoring And Reporting: لاگ ها را می توان در همان زمان و تاریخی که ثبت شده اند مشاهده نمود. TMG دارای سیستم حرفه ای log system ای است که می توان در صورت لزوم به آن قویا استناد کرد.
Query Building: با استفاده از ابزارهای query داخلی, اطلاعات را می توان بر اساس تاریخ ذخیره سازی آن ها به سرعت جستجو کرد.
Report Creation And Publishing: گزارش ها را می توان برای نیازهای خاصی طراحی کرده و سپس به صورت لوکالی و یا برروی فایل های به اشتراک گذاشته شده در شبکه Publish نمود
External Logging: کلیه Log ها را می توان به sql server واقع در شبکه داخلی فرستاد .این کارسبب می شود که لاگ فایل ها که برای بسیاری از مدیران شبکه مهمترین اسناد ردیابی و حل بسیاری از مشکلات می شوند در دیتابیس sql بایگانی شوند
Delegated Permission: نقش های مدیریتی را می توان به کاربران و یا گروه ها محول نموددر واقع مدیر شبکه می تواند برای همکاران سطوح پایین تر وظایف و سطح دسترسی های مشخص و محدودی را به آنان محول کرده که به این عمل delegate یا واگذاری اختیار در دنیای شبکه گفته می شود.
Intrusion Prevention And Intrusion Detection And Network Inspection System : با استفاده از تنظیمات این قسمت می توان بسیاری از حملات رایج را کنترل کرده و از نفوذ هکرها به داخل شبکه خود جلوگیری کنید. با استفاده از ویژگی NIS که یکی از تنظیمات مربوط به IPS می باشد، بسیاری از بسته های اطلاعاتی بر اساس مشخصه هایی که برای آن ها تعریف شده اند مورد بررسی قرار گرفته و درصورت عدم تایید از ورود این بسته ها به شبکه جلوگیری به عمل می آید.
Network Address Translation : در TMG پیشرفت های جدیدی برای NAT حاصل شده است که به شما اجازه می دهد در شرایطی که بین شبکه ها ارتباط NAT برقرار می باشدمشخص کنید که کدام آدرس ها برای درخواست های خروجی استفاده شوند.
TFTP Filter: این پروتکل مشابه با پروتکل FTP می باشدبا این تفاوت که از پروتکل های دیگیری در لایه IP استفاده می کندTFTP معمولا توسط کلاینت های BootP برای دانلود یک سیستم عامل استفاده می شود.بسیاری از تلفن های VOIP از TFTP برای دانلود فایل های پیکربندی استفاده می کنند.
Proxy Server : در این قابلیت درخواست های کاربران ابتدا به Proxy Server تحویل داده می شود.پروکسی سرور این درخواست ها را به نیابت از خودش روی اینترنت می فرستد درخواست هایی را که مورد تایید می باشند در اختیار کاربران قرار می دهد و در صورت عدم تایید اجازه دسترسی به کاربر داده نمی شود.ماهیت پروکسی سرور ها به این گونه می باشند که به عنوان نماینده کلاینت های دیگر سازمان , در خواست ها را جمع آوری کرده و به اینترنت فرستاده ومسولیت پخش اطلاعات دریافتی بین کلاینت ها در صورت تایید نیز بر عهده پروکسی سرور ها می باشد.
ویژگی های Networking و Performance در TMG2010
Web Caching Server : این قابلیت سبب می شود که محتویات صفحات وب بر اساس تنظیمات تعریف شده برای کاربران Cache می شود. به این ترتیب درخواست های تکراری با توجه به اینکه قبلا در حافظه کش ذخیره شده اند با سرعت بیشتری پاسخ داده می شوند و از هدر رفت ترافیک اینترنتی نیز جلوگیری شده که این مساله کاهش هزینه بالای اینترنت را برای سازمان ها به ارمغان می آورد.
Network Based Configuration: ممکن است یک یا چندین شبکه طراحی کنید که ارتباطات متمایزی با یکدیگر داشته باشند Access policy ها برای این شبکهها مرتبط شده و برای آنها تعریف میشوند که لزوما مختص به شبکه داخلی خاصی نمیباشند تی ام جی ویژگیهای امنیتی فایروال خود را برای اعمال بر روی ترافیک بین Network ها و Network object ها گسترش میدهد.
Background intelligent transfer service caching: تی ام جی مکانیزم caching را برای اطلاعات دریافت شده از طریق Bits انجام میدهد.هر cache رولی که ایجاد میکنید میتواند برای ذخیره سازی دادههای BITS فعال شودBITS سرویسی برای انتقال مقادیر زیادی از دادهها در شبکه بدون تضعیف کارایی شبکه میباشد.این عمل توسط انتقال داده در اندازههای کوچک, به کارگیری پهنای باند بالا استفاده در شبکه و کنار یکدیگر قراردادن آنها در مقصد میباشد.
Http compression: میتوانید با استفاده از الگوریتمی که برای کاهش اندازه فایلها طراحی شده است حجم بستههای HTTP را کاهش دهید. در واقع به نوعی پروتکلی جهت فشردهسازی اطلاعات و کم کردن حجم اطلاعات در بستر شبکه میباشد.
Diffserv: تی ام جی مشتمل بر ویژگی اولویت بندی بستهها که توسط پروتکل Diffserv ارایه شده است میباشد که رولها و دامینها را اسکن کرده و با استفاده از بیتهای diffserv به بستههای اطلاعاتی اولویت تخصیص میدهد.
سوالات متداول
آیا بر روی سیستم عاملهای لینوکس TMG نصب می شود؟
برای بسیاری از دوستان این سوال پیش میآید که آیا بر روی سیستم عاملهای لینوکس نیز، این فایروال نصب و پشتیبانی میشود؟ در پاسخ به این سوال بایستی بگوییم که، مایکروسافت هیچ نسخهای برای لینوکس ارایه نداده است. .این فایروال نرم افزاری، تنها از طریق سیستم عامل های ویندوزی، قابل اجرا شدن و نصب میباشد.